WebLogic XMLDecoder 反序列化漏洞
2019-06-16 00:00:00
2019年6月16日,金山云安全應(yīng)急響應(yīng)中心監(jiān)控到近期出現(xiàn)Oracle WebLogic反序列化漏洞最新利用代碼�,并且可以繞過官方最新的安全補(bǔ)丁��,在此���,金山云安全應(yīng)急響應(yīng)中心建議受影響的用戶及時根據(jù)修復(fù)建議進(jìn)行處置�,避免漏洞被利用,造成損失����。
漏洞編號:
CVE-2019-2725繞過
漏洞名稱:
Oracle WebLogic XMLDecoder 反序列化漏洞(CVE-2019-2725繞過)
漏洞危害等級:
高危
漏洞描述:
WebLogic中默認(rèn)包含的wls-wast 與wls9_async_response war包,由于以上WAR包采用XMLDecoder反序列化機(jī)制來處理發(fā)送過來的XML數(shù)據(jù)���,遠(yuǎn)程惡意攻擊者可以通過發(fā)送精心構(gòu)造的HTTP請求����,在未授權(quán)的情況下遠(yuǎn)程執(zhí)行命令,獲得目標(biāo)服務(wù)器的權(quán)限���。也就是說���,攻擊者能夠直接獲取服務(wù)器系統(tǒng)權(quán)限����,進(jìn)行數(shù)據(jù)竊取,進(jìn)而甚至?xí){受害者的內(nèi)網(wǎng)安全���。
影響版本:
Oracle WebLogic Server 10.x
Oracle WebLogic Server 12.1.3
修復(fù)方案:
1. 配置訪問控制策略
可通過配置訪問控制策略禁止非法用戶訪問以下路徑
/wls-wsat/*
/_async/*
2. 刪除不安全文件
刪除 wls9_async_response.war 與 wls-wsat.war 文件及相關(guān)文件夾,并重啟 Weblogic 服務(wù)�����。具體文件路徑如下:
Oracle WebLogic Server 10.3.x :
\Middleware\wlserver_10.3\server\lib\
%DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\
%DOMAIN_HOME%\servers\AdminServer\tmp\.internal\
Oracle WebLogic Server 12.1.3 :
\Middleware\Oracle_Home\oracle_common\modules\
%DOMAIN_HOME%\servers\AdminServer\tmp\.internal\
%DOMAIN_HOME%\servers\AdminServer\tmp\_WL_internal\
3. 升級JDK 版本
本次漏洞繞過只生效于JDK6, 可升級JDK版本至JDK7及以上。
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2019/06/16